Torna al Blog

MCP server: il nuovo perimetro che la tua azienda non sta monitorando

·5 min lettura
Gateway di sicurezza centralizzato che monitora le connessioni tra agenti AI e strumenti aziendali

In pochi mesi, il Model Context Protocol (MCP) è passato da proposta tecnica di nicchia a standard de facto per connettere agenti AI agli strumenti aziendali. Le aziende lo adottano senza policy, senza governance, spesso senza che l'IT lo sappia. Questo è il problema.

Lanciato da Anthropic nel novembre 2024, MCP ha già raccolto migliaia di implementazioni pubbliche — IDE come Cursor, VS Code, Claude e Copilot lo supportano nativamente, e l'ecosistema cresce a ritmo accelerato. Il vantaggio è reale: automazioni che prima richiedevano settimane di sviluppo, ora si compongono in ore. Il problema è che la semplicità di adozione ha superato di gran lunga la maturità della governance.

Cos'è MCP e perché è ovunque

MCP è un protocollo aperto che permette a un agente AI di "chiamare" strumenti esterni — leggere email, aggiornare un CRM, eseguire query su database, scrivere file — esattamente come un'API, ma orchestrata in linguaggio naturale. Lo sviluppatore descrive il tool in un file di configurazione, l'agente lo invoca quando serve.

I tre rischi che nessuno sta misurando

1. OAuth sprawl: credenziali che si moltiplicano senza controllo

Ogni MCP server gestisce la propria autenticazione in modo indipendente. Il server che accede a Google Drive usa OAuth Google. Quello che legge Slack usa un token Slack. Quello che scrive sul CRM usa credenziali proprie. Il risultato: decine di token attivi, con scopi spesso eccessivi ("leggi tutto", "scrivi tutto"), senza rotazione programmata, senza inventario centralizzato.

Quando un token viene compromesso — per un leak nel codice, un log non protetto, un repository pubblico accidentale — l'azienda non ha un piano di risposta perché non sa nemmeno quali token esistono.

2. Zero visibility: nessuno sa cosa fanno gli agenti

Quando un agente AI chiama un tool, questa azione non lascia traccia strutturata in nessun sistema aziendale. Non c'è un log centralizzato. Non ci sono metriche di utilizzo. Non c'è un alert se l'agente accede a dati anomali o in orari inusuali.

Dal punto di vista della compliance — ISO 27001, NIS2, GDPR — questo è un problema grave. Il controllo A.8.15 della ISO 27001 richiede logging delle attività di sistema. Un agente AI che opera senza audit trail è, tecnicamente, un sistema non conforme. E in caso di incidente, l'incident response è cieca.

3. Shadow MCP: server locali fuori dal perimetro IT

Lo scenario più comune e più sottovalutato: uno sviluppatore configura un MCP server sul proprio laptop, usando le proprie credenziali personali o un token di servizio non approvato, per far lavorare più velocemente il suo agente AI. L'IT non lo sa. Il CISO non lo sa. I dati aziendali transitano su un'infrastruttura non monitorata, non approvata, non protetta.

È l'equivalente moderno del shadow IT degli anni 2010, con una superficie di attacco molto più ampia perché gli agenti AI possono agire, non solo leggere.

Come andrebbero gestiti

I tre problemi hanno un'unica radice: manca un control plane centralizzato per i tool AI. La soluzione non è bloccare MCP — è governarlo. Una governance efficace si costruisce su quattro livelli:

  1. Inventario e approvazione dei server MCP: ogni MCP server in uso nell'organizzazione deve essere censito, valutato e approvato. Stesso processo di qualsiasi software che accede a dati aziendali.
  2. Autenticazione centralizzata: un token per identità agente, non un token per server. Le credenziali dei sistemi aziendali non devono essere distribuite ai singoli MCP server, ma gestite da un gateway che le eroga con scope minimi e rotazione automatica.
  3. Audit trail strutturato: ogni chiamata tool deve generare un log strutturato — chi ha chiamato, quale tool, con quali argomenti (in forma anonimizzata se contengono dati personali), con quale esito, quando. Questo log è la base per incident response, compliance audit e anomaly detection.
  4. Policy as code: le regole su chi può usare quali tool, in quale contesto, con quale livello di accesso, devono essere scritte come configurazione versionata — non affidate a convention informali o alla memoria del team.

Il momento per agire è adesso

L'adozione degli agenti AI in azienda è in accelerazione. Le policy seguono sempre con ritardo — ma ogni mese di ritardo è un mese di esposizione non mitigata.

Tomato Blue aiuta le organizzazioni a costruire la governance degli strumenti AI: dall'inventario dei MCP server in uso, alla definizione delle policy di accesso, fino all'integrazione con i framework di compliance già adottati (ISO 27001, NIS2, GDPR).

Se la tua azienda usa agenti AI e non ha ancora una policy sui tool MCP, il momento per parlarne è adesso.

Costruiamo insieme la governance dei tuoi strumenti AI

Dall'inventario dei server MCP alle policy di accesso, fino all'integrazione con ISO 27001, NIS2 e GDPR.

Parla con noi →

Tomato Blue Consulting — Governance, Risk & Compliance per l'era degli agenti AI.